Reprise du message précédent :
voici des stats d'attaque sur le port 135 que j'ai réalisé en php/gd:
 
http://www.zehome.com/vrac/blaster.php
 
&the source (GPLed off course)  
http://www.zehome.com/vrac/blaster.phps
 
==> ca donne:
http://www.zehome.com/vrac/blaster.php  
 
@pluch

 
déja, je suis pas sous windows. GNU/Linux. Ensuites j'utilises tout simplement netfilter avec une regle pour marquer les attaques dans les logs. Ce worm se propage sur le port 135, puisque il exploite une faille sur ce port la.  
 
Pour la liste des services/port faut aller voir du coté de /etc/services
 
 
@plus

je crois que ça a déjà été répondu, visionmaster :
fo utiliser norton internet security
 

le seul soft qui fout plus de merde qu'il n'en protège  

d'un autre coté il n'y a pas que lui qui tape sur le 135

 
non. mais c'est la meme faille.

 
internet security c plutôt MacAfee non?

 
je crois pas non...le port 135 a pas été decouvert il y a 3 jours  

euh c'est une faille lié au service qui tourne derriere ce port mais ce n'est pas la _meme_ faille nuance  

 
http://www.symantec.com/sabu/nis/nis_pe/

 
la tu joue sur les mots, ca deviens presque débile...

Salut, j ai aussi SVCHOST ki plant o demarrage, mais mon PC ne reboot pas, et je trouve pas de trace de ce virus, kk1 a une vague idee ?
 
 
sinon, le PC de ma famille semble en effet verollé, la page 1 est elle a jour ? permet elle de corriger le probleme ?
 
 
merci.

 
ca bloque où ?

si tu le dis .

tu me pretes ta règle netfilter stp?  

$IPTABLES -N blaster >/dev/null 2>&1                                                                                                                                  
$IPTABLES -A blaster -i $INET_IFACE -j LOG --log-level warn --log-tcp-options --log-ip-options --log-prefix '[Blaster] : '
$IPTABLES -A drop -i $INET_IFACE -p tcp --dport 135 -j blaster
 
et dans ma crontab:
*/1 * * * * /home/ed/updateblaster.sh
1 0 * * * /home/ed/updateblaster.sh newday
 
le script:  
 

 
oubliez pas que si vous comptez adapter le script chez vous, vous n'avez *pas* le droit de vous l'approprier, en changant le nom de l'auteur par exemple, je vous remerci d'avance ;-)
 
++

k ca marchait c'est juste que j'avais pas attendu assez longtemps
me suis pas fait de chaine, j'ai juste placé la règle avant mon -P INPUT DROP
par contre je prends tes scripts sh et php merci bien

 
 
j ai plein de merde dans internet explorer : Copier coler impossible,...

 
de rien

 
et t'as désactivé le rpc ?

ça srait plus efficace  

 
enfin vu le résultat qd tu coupes le rpc, ça revient au même !

ben non pke après le pc se rallume et il te re-casse les couilles  

 
au riske de passer pour une andouille, ça sert a koi ce script

 
a faire marrer les geeks ma chère :-) Plus ya des chiffres, plus c'est marrant :-)
 
PS: comme l'a dit si bien voltaire:
 
"Celui qui demande passe pour un imbécile pour 5 minutes, celui qui ne demande pas reste un imbécile à jamais."
 
cya
 

 
Et après, certain osent dire que linux, c'est convivial  

faut arreter les trolls les gars

C super comprehensible pourtant: tu parses, tu tail, tu greppes et hop !

 
le vrai problème de linux est sa simplicité.
 
Si tu prends une personne qui n'as jamais utiliser de pc et que tu la met devant un windows et un linux elle sera plus facilement utiliser et reparer les problèmes de windows que de linux.
 
je parle serieusement.  
 
essaie d'utiliser linux en mode texte histoire que je rigole 5 mn

je suis toujours en galere a cause de lovsan :
 
je n ai + d acces internet, impossible de faire des copier/coller, + tous les symptomes connus dus a ce virus.
Lorsque j ai eu le virus comme un con j ai  désactivé le service RPC et mis "ne rien faire " en cas de dysfonctionnement du service.
Ce qui a engendré par occurence de desactiver egalement le service de cryptographie.
Donc lorsque j essaie d executer les patchs ( que j avais mis sur CD car je n ai + le net ) j obtiens le message d erreur suivant : "Le programme d installation n a pu verifier l intégrité du fichier update.inf. Assurez vous que le service de cryptographie est en cours d execution sur cet ordinateur."
 
j ai bien sur tenté de reactiver le service cryptologie ( qui est en statut automatique ) et j obtiens le mess d erreur suivant : " l erreur systeme 1068 s est produite. le service ou le groupe de dependance n a pas pu demarrer."
Et si j essaie de redemarrer le service RPC j obtiens le message " erreur 1058 : le service ne peut etre demarré parce qu il est desactivé ou qu aucun peripherique activé ne lui est associé".
Mon modem fonctionne pourtant correctement car il recoit des bits et en envoie normalement.
j ai essayé par ligne de commande ( net start rpcss et cryptsvc ) et j obtiens les meme messages.
J ai deja killé msblast.exe dans les processus mais pas encore dans la base de registre ni dans Windows/prefetch car je viens d avoir le chemin complet a l instant.
 
Voila ca c est du post !  
Merci d avance pour vos reponses !

La solution pour réactiver le RPC a été donnée un peu plus haut ou la page d'avant...

Voilà j'ai vu ca :
http://www.kaspersky.com/fr/news.html?id=972725
surement déjà donné, mais j'ai po envie de me farcir 40pages   .
C'était pour savoir si, ayant déjà patché avec succès, et n'ayant pas été contaminé, d'ailleurs, on risque quelque chose avec cette nouvelle vague.

 
j'ai posté au dessus comment redémarrer le service rpc quand il a été desactivé
edit: grillaid

 
Non,, la variante utilise la meme faille ue l'originale, si ton OS est patché, elle ne passera pas.

Je sors d'Afflelou, je suis MDR, tout leur informatique est HS plus de Base de donnée clientelle ni produits.
 
Ils resortent les catalogues pour avoir les ref des produits en ensuite les ecrivent sur des petits bouts de papier avec les noms des clients.
 
On se demande qui a fait ca !        
 
 

Ca burlutte chez M$ ...
J'installe un nouveau PC et 2h30 demandé pour telecharger un pov XP SP1. Tous le monde est connecté chez microsoft ?

limite si tu veux juste le pack SP1 en .exe, jpe te le passer